Domen атын алу шеберінің синтаксисі дұрыс емес. Ntdsutil көмегімен FSMO рөлдерін басқару. PDC Transfer, RID пул менеджері, инфрақұрылым шебері

Қайырлы күн, құрметті оқырмандар және блог сайтының қонақтары, бүгін өте маңызды және жүз пайыз практикалық мақала болады және ол траб-атуға арналған болады. Active Directory. Жақында мен сізге ақаулы немесе қол жетімсіз домен контроллерін қалай дұрыс жою керектігін айттым, бәрі жақсы, бірақ бұл FSMO рөлін тасымалдаушы болып табылатын жағдай туындауы мүмкін және оны жоймас бұрын сізге орындау қажет болады. Active Directory операцияларының басты рөлдерін мәжбүрлеп қабылдау.

Пәрмен жолында келесі пәрменді орындаймыз:

fsmo желілік сұрау

Маған қажет үш төменгі рөл dc10-ға жатады. Біз оларды алып кетеміз. Мұны істеу үшін сіз кем дегенде домен әкімшісі болуыңыз керек.

Міне, домен контроллерін жоймас бұрын, операциялардың басты рөлдерін күштеп басып алу керек болған нақты жағдайдың мысалы.

Операцияның басты рөлін келесі себеппен тасымалдау мүмкін емес: Қажетті FSMO әрекеті сәтсіз аяқталды. FSMO-ның қазіргі иесімен байланыс жоқ.

Мен мұны Active Directory - Пайдаланушылар мен компьютерлер қосымшасында, RID рөлін дұрыс тасымалдауға тырысқанда көрдім.

PDC эмулятор рөлін қолжетімсіз контроллермен алуға әрекеттенсеңіз, ол оны ADUC ішінде орындауға мүмкіндік береді, бірақ сіз ескертуді көресіз.

Қажетті FSMO әрекеті сәтсіз аяқталды. FSMO-ның қазіргі иесімен байланыс жоқ. Бұл рөлді басқа компьютерге тасымалдау үшін ағымдағы операциялар шеберімен байланысу мүмкін емес. Кейбір жағдайларда рөлді мәжбүрлеп ауыстыруға рұқсат етіледі. Аяқтағыңыз келе ме?

Біз «Иә» дейміз

Барлық PDC рөлдері алынады.

Біз инфрақұрылым шеберімен де солай істейміз. Пәрмен жолында FSMO рөлдерін кім ұстайтыны туралы сұрауды қайтадан іске қосқаннан кейін, бұл екі төменгі рөлге, dc7, жаңа контроллерге арналған екенін көреміз.

Енді RID рөлін алайық, бұл бізге ntdsutil утилитасы көмектеседі. Ашылу пәрмен жолымәжбүрлеп басып алу үшін.

• Біз ntdsutil енгіземіз, біз оған жетеміз орындалу ортасы.
• Әрі қарай рөлдерді жазамыз
• fsmo қызмет көрсетуінде: қосылымдарды жазу
• сервер қосылымдарында: серверге қосылуды жазу, менің сервер атым dc7
• сервер қосылымдары: q
• fsmo техникалық қызмет көрсетуде жазыңыз: RID мастерін басып алыңыз

Олар сізге жазады: Түсіру алдында RID FSMO қауіпсіз тасымалдау әрекеті. ldap_modify_sW қатесі, қате коды 0x34<52 (Нет данных). Расширенное сообщение об ошибке LDAP 000020AF: SvcErr: DSID-03210F70, problem 5002, data 1722. Возвращенная ошибка Win32 0x20af (Ошибка требуемой операции FSMO. Нет связи с текущим владельцем FSMO).

Операцияны растайтын терезе ашылады, «Иә» түймесін басыңыз. Нәтижесінде рөл әлі де ауыстырылады, мұны ADUC-да бірден көруге болады.

Егер ntdsutil көмегімен қалған рөлдерді күштеп басып алу қажет болса, соңғы пәрмен үшін олардың кілттері:

• PDC өлшемі
• инфрақұрылым шеберін басып алу
• домендік атау шеберін басып алу (заңды атау шебері)
• схема шеберін ұстаңыз

Active Directory қызметіндегі негізгі операциялар рөлдерін мәжбүрлеп тасымалдау осылайша дұрыс орындалады, егер сұрақтарыңыз болса, оларды түсініктемелерде жазыңыз.

Барлығына сәлем, бүгін мен сізге fsmo рөлдерін басқа Active Directory домен контроллеріне қалай тасымалдау керектігін айтамын. Мұнда қандай fsmo рөлдері бар екенін оқыңыз. Біз сондай-ақ FSMO операциясының шеберлерін қалай анықтау керектігін қарастырдық. Тапсырма келесідей: бізде Windows Server 2008R2 домен контроллері бар Active Directory домені бар, Windows Server 2012 R2 іске қосылған контроллерді орнаттық. Біз оған fsmo рөлдерін тасымалдауымыз керек және болашақта барлық W2008R2-ді W2012R2-ге ауыстыруымыз керек.

3 домен бар dc01 және dc02 - Windows 2008 r2 домен контроллері және dc3 - Windows Server 2012 R2 жүйесі бар жаңа.

fsmo желілік сұрау

Біз барлық 5 рөлдің (Schema Master, Domain Nameming Master, PDC, RID Pool Manager, Infrastructure Master) dc01.msk.site сайтында орналасқанын көреміз.

Бірінші бөлімде талқыланатын бірінші әдіс - қосымша модульдер.

Fsmo рөлдерін қосымша модульдер арқылы басқа Active Directory домен контроллеріне қалай тасымалдауға болады

Fsmo рөлдерін қосымша модульдер арқылы тасымалдау - ең жылдам және интуитивті әдіс.

PDC Transfer, RID пул менеджері, инфрақұрылым шебері.

Active Directory пайдаланушылары мен компьютерлері қосымша модулін ашыңыз; мұны dsa.msc теру арқылы Бастау арқылы жасауға болады.

Біз 3 DC контроллерін көреміз, dc3-те Windows Server 2012 R2 бар

Домен деңгейін тінтуірдің оң жақ түймешігімен басып, Operation Masters таңдаңыз

Біз нақты PDC, RID пул менеджері, инфрақұрылым иесі DC01 ұстайтынын көреміз

Өңдеу түймесін бассаңыз, қате пайда болады:

Бұл домен контроллері операциялардың шебері болып табылады. Операциялар басты рөлін басқа компьютерге тасымалдау үшін алдымен оған қосылу керек.

Бұдан шығатыны, түсіру үшін біз рөлдерді тасымалдайтын контроллерді таңдауымыз керек, мен үшін бұл dc3.

DC3 бөліміне өтіп, ADUC ашыңыз

Операциялардың иелерін таңдау

Біз RID-нің ағымдағы иесі dco1 екенін көреміз және оны dc3-ке кімге тасымалдаймыз, өзгерту түймесін басыңыз.

Растау

Рөл сәтті ауыстырылды

Қазір RID иесі dc3.msk.site екенін көріп отырмыз

Біз PDC шеберімен де солай істейміз.

және инфрақұрылыммен

Рөлдердің иесі кім екенін көрейік, бұл пәрмен жолындағы пәрмен арқылы орындалады:

fsmo желілік сұрау

және біз dc3-ке жататын үш fsmo рөлін көреміз

Схема шеберін тасымалдау

Active Directory схемасының қосымша модулін ашыңыз, оны Active Directory схемасына қосу жолын осы жерден оқыңыз.

Түбірді тінтуірдің оң жақ түймешігімен нұқыңыз және «Операциялар шебері» таңдаңыз

Біз dc01-ге қосыламыз. Өзгерту түймесін басыңыз

және біз ескерту аламыз: Ағымдағы Active Directory домен контроллері операциялардың шебері болып табылады. Әрекеттердің басты рөлін басқа DC-ге тасымалдау үшін AD схемасын сол DC-ге бағыттау керек.

Жабайық. Түбірді қайтадан тінтуірдің оң жақ түймешігімен басып, Active Directory домен контроллерін өзгерту пәрменін таңдаңыз.

AD схемасының қосымша модулі схема операцияларының шеберіне қосылмаған хабары бар терезе пайда болады. Өзгерістер енгізу мүмкін емес. Схема өзгерістерін тек FSMO иесінің схемасына енгізуге болады.

Біз схеманың иесін қайтадан таңдаймыз және ол енді өзгертуге мүмкіндік беретінін көреміз.

сәтті ауыстырылды.

Рөлдердің иесі кім екенін көрейік, бұл пәрмен жолындағы пәрмен арқылы орындалады:

fsmo желілік сұрау

және біз dc3 үшін 4 рөлді көріп отырмыз

Домендік атауларды беру шебері

Active Directory домендері мен сенімдері қосымша модулін ашыңыз

Операциялардың иесін таңдау

Өзгерту

Рөл сәтті ауыстырылды

Тексеру

fsmo желілік сұрау

Енді барлық FSMO рөлдері Windows 2012 r2 домен контроллерінде.

Осылайша, fsmo рөлдерін басқа Active Directory домен контроллеріне тасымалдауға болады. Мен сізге fsmo рөлдерін басқа Active Directory домен контроллеріне қалай тасымалдауға болады - пәрмен жолы арқылы 2 бөлімді оқуға кеңес беремін.

Кейде Active Directory доменінің әкімшісі қазіргі уақытта қандай контроллерлер орналасқанын жылдам анықтауы керек FSMO рөлдері – Икемді жалғыз басты операция, яғни олардың қайсысы белгілі бір операцияның шебері немесе иесі деп аталады. Мұны анықтаудың ең жылдам жолы - кірістірілген Netdom пәрменін пайдалану.

Netdom командасының FSMO рөлдерін көру

cmd іске қосыңыз және келесі пәрменді іске қосыңыз:

fsmo желілік сұрау

Ол ағымдағы домен үшін операция иелерінің рөлдерін көрсетеді. Басқа домен үшін FSMO рөлдерін көру қажет болса, домен кілтін пайдалану керек:

netdom сұрау fsmo /домен:домен аты

AD-да мұндай рөлдердің бесеуі ғана бар екенін есте ұстайық. Орманға ғана тән екі рөл:

• Схема шебері – схема шеберінің рөлі. GUI арқылы оны Active Directory схемасының қосымша модулінде көруге болады.
• Домендік атау шебері – домендік атау шеберінің рөлі. GUI арқылы оны Active Directory Domains and Trusts қосымша модулінен табуға болады.

Әр домен үшін үш рөл бірегей:

• RID пул менеджері – RID пулының иесінің рөлі (салыстырмалы идентификаторлар).
• PDC эмуляторы – PDC (бастапқы домен контроллері) эмуляторының рөлі.
• Инфрақұрылым шебері – инфрақұрылым иесінің рөлі.

Графикалық интерфейс арқылы бұл рөлдерді Active Directory пайдаланушылары мен компьютерлер қосымшасында тексеруге болады.

Сіз икемді жалғыз басты операция туралы көбірек біле аласыз

FSMO, немесе Бір шебердің икемді операциялары(бір орындаушы операциялар) домен контроллерлері орындайтын операциялар Active Directory (AD), ол әрбір операция үшін міндетті сервер бірегейлігін талап етеді. Операция түріне, бірегейлігіне байланысты FSMOбір домен немесе домендер орманы ішіндегі білдіреді. Әртүрлі түрлері FSMOбір немесе бірнеше домен контроллерінде орындалуы мүмкін. Өнімділік FSMOсервер деп аталады рөлсерверлер, ал серверлердің өзі операциялардың шебері болып табылады.

Операциялардың көпшілігі ADкез келген домен контроллерінде орындалуы мүмкін. Репликация қызметі ADөзгертулерді басқа домен контроллерлеріне көшіріп, дерекқордың сәйкестігін қамтамасыз етеді ADбір доменнің барлық контроллерлерінде. Қақтығыстарды шешу келесідей болады - соңғы өзгертулерді жасаған адам дұрыс.

Дегенмен, бірнеше әрекеттер бар (мысалы, схеманы өзгерту AD), қайшылықтар қабылданбайды. Сондықтан рөлдері бар серверлер бар FSMO. Олардың міндеті - мұндай қақтығыстардың алдын алу. Осылайша, рөлдердің мағынасы FSMOкелесіде - әрбір рөлді бір уақытта тек бір серверде орындауға болады. Ал қажет болса, оны кез келген уақытта басқа домен контроллеріне ауыстыруға болады.

Орманда бес рөл бар FSMO.Алдымен мен оларға қысқаша сипаттама беремін. :

• Схема иесі ( Схема шебері) - схемаға өзгертулер енгізуге жауапты Active Directory. Домендердің бүкіл орманы үшін бір ғана болуы мүмкін.
• Домен атау шебері ( Доменді атау шебері) - ормандағы құрылған домендер мен қолданба бөлімдерінің атауларының бірегейлігіне жауап береді. Домендердің бүкіл орманы үшін бір ғана болуы мүмкін.
• Инфрақұрылым иесі ( Инфрақұрылым шебері) - өз домендерінің жергілікті топтарының мүшелері болып табылатын басқа домендердің пайдаланушылары туралы деректерді сақтайды. Ормандағы әрбір домен үшін біреу болуы мүмкін.
• Мастер RID (RID шебері) - бірегей салыстырмалы идентификаторларды бөлуге жауапты ( RID) домен тіркелгілерін жасау кезінде қажет. Ормандағы әрбір домен үшін біреу болуы мүмкін.
• Эмулятор PDC (PDC эмуляторы) - домен үйлесімділігіне жауапты NT4және клиенттерге Windows 2000. Ормандағы әрбір домен үшін біреу болуы мүмкін.

Енді әрбір рөлді толығырақ қарастырып, олардың жұмыс істеуі үшін қаншалықты маңызды екенін білейік Active Directory.

Схема шебері

Схема шебері- барлық класстар мен атрибуттардың сипаттамасы орналасқан схемаға өзгертулер енгізуге жауапты Active Directory. Схема өте сирек өзгертіледі, мысалы, домен деңгейін өзгерту, орнату Айырбастаужәне кейде басқа қолданбалар. Бұл рөл ормандағы кез келген домен контроллерінде орналасуы мүмкін. Қолжетімсіз болса Схема шеберісхемасын өзгерту ADмүмкін емес болады.

Доменді атау шебері

Доменді атау шеберідомендік атауларға қатысты операцияларға жауапты А.Д.дегенмен оның міндеттерінің тізімі біршама ұзағырақ :

• Орман ішіндегі домендерді қосу және жою. Домендерді қосуға және жоюға тек рөлі бар контроллерге рұқсат етіледі Доменді атау шебері. Ол қосылатын доменнің орман ішінде бірегей екеніне кепілдік береді NETBIOS-Аты. Егер Мастер ат қоюқол жетімді емес, орманда доменді қосу немесе жою мүмкін емес.
• Бөлімдерді құру және жою. Бастап Windows 2003бөлек бөлімдер құру мүмкін болды - Қолданбалар каталогының бөлімдеріішінде сақтау үшін пайдаланылады ADерікті деректер. Мысал ретінде деректерді сақтау DNS-секциялардағы серверлер ForestDnsZonesЖәне DomainDnsZones. Қолжетімсіз кезде бөлімдерді басқару Доменді атау шеберімүмкін емес.
• Айқас сілтемелерді жасау және жою. Клиент қосылған серверде каталогтың қалаған көшірмесі болмаса, айқас сілтеме каталогты іздеу үшін пайдаланылады және олар қолжетімді болған жағдайда орманнан тыс домендерге де сілтеме жасай аласыз. Айқас сілтемелер сақталады ( кроссСілтеме) контейнерде Бөлімдербөлім Конфигурация, бірақ тек Доменді атау шеберіосы контейнердің мазмұнын өзгертуге құқығы бар. Қолжетімсіз болса Доменді атау шеберіЖаңа сілтеме жасау немесе қажетсіз сілтемені жою мүмкін болмайды.
• Домен атауын өзгертуді мақұлдау. Домен атын өзгерту үшін қызметтік бағдарламаны пайдаланыңыз rendom.exe.Ол атын өзгерту процесі кезінде орындалуы қажет нұсқаулары бар сценарий жазады. Бұл сценарий контейнерге орналастырылған Бөлімдербөлім Конфигурация. Өйткені тек рөлі бар контроллер осы контейнердің мазмұнын өзгертуге құқылы Доменді атау шебері, содан кейін ол нұсқауларды тексеруге және атрибуттарды жазуға жауапты.

Бұл рөл ормандағы кез келген домен контроллерінде орналасуы мүмкін.

Инфрақұрылым шебері

Егер сервер жаһандық каталог болмаса ( Г.К.), онда оның дерекқорында басқа домендердің пайдаланушылары туралы деректер жоқ. Дегенмен, біз басқа домендерден пайдаланушыларды доменнің жергілікті топтарына қоса аламыз. Ал топ дерекқорда ADфизикалық түрде барлық пайдаланушыларға сілтемелер болуы керек. Бұл мәселе ойдан шығарылған объект - фантомды жасау арқылы шешілді ( фантом). Жалған нысандар ішкі дерекқор нысанының ерекше түрі болып табылады және оларды қарау мүмкін емес ADSIнемесе LDAP. Бұл фантомдармен айналысатын инфрақұрылым шебері.

Бұл рөлдің тағы бір ерекшелігі - көп доменді ортада дұрыс жұмыс істеу үшін инфрақұрылым шебері ретінде әрекет ететін домен контроллері жаһандық каталог сервері болмауы керек. Рөлдің иесі болса Инфрақұрылым шеберісонымен қатар сервер болып табылады Г.К., бұл домен контроллерінде жалған нысандар жасалмаған немесе жаңартылмаған. Бұл жаһандық каталогта ішінара көшірмелер бар болғандықтан орын алады барлығыішіндегі объектілер Active Directoryжәне оған фантомдардың қажеті жоқ .

RID шебері

Домендегі әрбір тіркелгінің (пайдаланушы, компьютер, топ) бірегей қауіпсіздік идентификаторы болуы керек ( SID), бұл тіркелгіні бірегей түрде анықтайды және кіру құқықтарын саралауға қызмет етеді. ұқсайды SIDкелесідей:

S-1-5-Y1-Y2-Y3-Y4, Қайда

• S-1 - SIDревизия 1. Қазіргі уақытта тек осы түзету қолданылады.
• 5 - ТЖК кім бергенін көрсетеді. 5 білдіреді NT Authority. Дегенмен, «белгілі идентификаторлар» деп аталатын SID (белгілі ТЖК) бұл бөлікте 0, 1 және басқа да мәндерге ие болуы мүмкін.
• Y1-Y2-Y3- тіркелгі тиесілі доменнің идентификаторы. Барлық нысандар үшін бірдей қауіпсіздік принципібір домен ішінде.
• Y4- салыстырмалы идентификатор ( Салыстырмалы идентификатор, RID) белгілі бір есептік жазбаға тән. Тіркелгіні жасау кезінде салыстырмалы домен идентификаторларының пулынан ауыстырылды.

Рөлі бар домен контроллері RID шеберібірегей тізбегін анықтауға жауапты RIDоның доменіндегі әрбір домен контроллеріне, сондай-ақ объектілерді бір доменнен екіншісіне жылжытудың дұрыстығы үшін. Домен контроллерінде салыстырмалы идентификаторлардың ортақ пулы бар ( RID бассейні), RIDоның әрбір контроллері 500 дана бөліктерге бөлінген. Олардың саны аяқталған кезде (100-ден аз болады), контроллер жаңа бөлікті сұрайды. Қажет болса, шығарылғандардың саны RIDжәне сұрау шегін өзгертуге болады.

Жауапкершіліктің тағы бір саласы RID шебері- домендер арасында объектілерді жылжыту. Дәл RID шеберібір нысанды бір уақытта екі түрлі доменге жылжыту мүмкін еместігін қамтамасыз етеді. Әйтпесе, екі доменде бірдей екі нысан болатын жағдай болуы мүмкін GUID, бұл ең күтпеген салдарға толы.

Егер RID шеберітегін аяқталғаннан кейін қол жетімді болмайды RIDЖаңа тіркелгі жасау мүмкін болмайды, сонымен қатар нысандарды ағымдағы доменнен басқасына көшіру мүмкін болмайды.

PDC эмуляторы

Бастапқыда негізгі міндет Негізгі домен контроллері (PDC) эмуляторыалдыңғы нұсқалармен үйлесімділік қамтамасыз етілді Windows. Клиенттер кездесетін аралас ортада Windows NT4.0/ 95/98 және домен контроллері NT4, PDC эмуляторы(тек олар үшін) келесі функцияларды орындайды:

• Пайдаланушылар мен компьютерлер үшін «парольді өзгерту» операциясын өңдеу;
• Жаңартуларды қайталау BDC (Сақтық көшірме домен контроллері);
• Network Explorer (желілік ресурстарды іздеу).

Домен деңгейінен бастап Windows 2000және ол жұмысынан да қартайды. Рөлі бар домен контроллері PDC эмуляторыкелесі функцияларды орындайды:

• Құпия сөздерді өзгертуге және пароль қателері болған жағдайда пайдаланушы тыйымдарын бақылауға жауапты. Кез келген басқа домен контроллері өзгерткен құпия сөз алдымен қайталанады PDC эмуляторы. Кез келген басқа домен контроллерінде аутентификация сәтті болмаса, сұрау қайталанады PDC эмуляторы. Егер тіркелгі сәтсіз әрекеттен кейін бірден сәтті расталса, PDC эмуляторыол хабарланады және сәтсіз әрекеттердің есептегіші нөлге дейін қалпына келтіріледі. Қолжетімсіз болған жағдайда ескеру маңызды PDC эмуляторықұпия сөзді өзгерту туралы ақпарат әлі де доменге таралады, ол сәл баяу болады.
• Топтық саясат редакторы әдепкі бойынша серверге қосылады PDC эмуляторы, және оған қатысты саясат өзгерістері орын алады. Егер PDC эмуляторықолжетімсіз болса, редакторға қай домен контроллеріне қосылу керектігін айтуыңыз керек.
• Әдепкі бойынша ол PDC эмуляторыклиенттер үшін домендегі нақты уақыт сервері болып табылады. PDC эмуляторыормандағы түбірлік домен әдепкі уақыт сервері болып табылады PDC эмуляторыеншілес домендерде.
• Атау кеңістігі өзгереді Бөлінген файлдық жүйе (DFS), рөлмен домен контроллеріне енгізіледі PDC эмуляторы. Түбірлік серверлер DFSоның жадында сақтай отырып, жаңартылған метадеректерді мерзімді түрде сұраңыз. Қолжетімсіздік PDC эмуляторыдұрыс жұмыс істемеуі мүмкін DFS.
• IN Active Directory«Кірістірілген қауіпсіздік қатысушылары» деп аталатындар бар ( Белгілі қауіпсіздік принциптері). Мысалдарға шоттар жатады Барлығы, аутентификацияланған пайдаланушылар, жүйе, өзін-өзіЖәне Автордың иесі. Олардың барлығы рөлге ие домен контроллері арқылы басқарылады PDC эмуляторы. Дәлірек айтқанда, өзгерістермен AD PDC эмуляторыконтейнердің мазмұнын тексереді және жаңартады » CN=Жақсы белгілі қауіпсіздік принциптері, CN=Конфигурация, DC= >”.
• Әрбір орман доменінде Active Directoryәкімшілік қауіпсіздік дескрипторларының иесі бар - AdminSDHolder. Ол қорғалған топтар деп аталатын қауіпсіздік параметрлері туралы ақпаратты сақтайды ( қорғалатын топтар). Белгілі бір аралықтарда бұл механизм осы топтардың барлық мүшелерінің тізімін сұрайды және олардың қол жеткізуді басқару тізіміне сәйкес құқықтар береді. Осылайша AdminSDHolderӘкімшілік топтарды өзгерістерден қорғайды. Орындалды AdminSDHolderрөлі бар домен контроллерінде PDC эмуляторы.

AD домен қызметтері бес операциялық негізгі рөлді қолдайды:

1 Домен атау шебері;

2 Схема шебері;

3 Салыстырмалы идентификаторлардың иесі (Relative ID Master);

4 Домен инфрақұрылымының иесі (Infrastructure Master);

5 Негізгі домен контроллері эмуляторы (PDC эмуляторы).

Доменді атау шебері.

Рөл ормандағы домендерді қосу және жою үшін жасалған. Орманға домендерді қосу немесе жою кезінде осы рөлі бар контроллер қол жетімді болмаса, операция сәтсіз болады.

Орманда доменді атау шебері рөлі бар бір ғана домен контроллері бар.

Домен атауының иесі ретінде қандай домен контроллері бар екенін көру үшін қосымша модульді іске қосу керек. Active Directory - Домендер және сенімТүбірлік түйінді тінтуірдің оң жақ түймешігімен басып, « Операцияның иесі"

Доменді атау шебері жолында бұл рөлді қандай домен контроллері орындайтынын көресіз.

Схема шебері.

Схема иесі рөлі бар контроллер орман схемасына барлық өзгертулерді енгізуге жауапты. Барлық басқа домендерде схеманың тек оқуға арналған көшірмелері бар.

Схема иесі рөлі орманда бірегей және тек бір домен контроллерінде анықталуы мүмкін.

Схема иесі ретінде әрекет ететін домен контроллерін көру үшін қосымша модульді іске қосу керек. Active Directory схемасы, бірақ мұны істеу үшін сізге осы жабдықты тіркеу қажет. Ол үшін пәрмен жолын іске қосып, пәрменді енгізіңіз

regsvr32 schmmgmt.dll

Осыдан кейін « Бастау«команда таңдау» Орындау«және енгізу» ммк« және « түймесін басыңыз ЖАРАЙДЫ МА". Келесі мәзірде " түймесін басыңыз. Файл«Команданы таңдайық» Қосымша модульді қосыңыз немесе жойыңыз". Топта Қолжетімді аксессуарлартаңдау» Active Directory схемасы", түймешігін басыңыз" қосу«, содан кейін « түймешігін басыңыз ЖАРАЙДЫ МА".

Қосымшаның түбірлік түйінін тінтуірдің оң жақ түймешігімен басып, « Операцияның иесі".

Ағымдағы схема иесі (онлайн) жолында осы рөлді орындайтын домен контроллерінің атын көресіз.

Салыстырмалы идентификаторлардың иесі (Relative ID Master).

Бұл рөл барлық пайдаланушыларға, компьютерлерге және топтарға бірегей SID (Қауіпсіздік идентификаторы – пайдаланушыны, топты, доменді немесе компьютер тіркелгісін анықтайтын айнымалы ұзындықтағы деректер құрылымы) қамтамасыз етеді.

RID Master рөлі домен ішінде бірегей болып табылады.

Домендегі қандай контроллер идентификатордың иесі ретінде әрекет ететінін көру үшін « Операцияның иесі".

RID қойындысында RID рөлін орындайтын сервердің атын көресіз

Домен инфрақұрылымының иесі (Infrastructure Master).

Бұл рөл орманда бірнеше домендерді пайдалану кезінде маңызды. Оның негізгі міндеті - фантомдық объектілерді басқару. Фантомдық нысан - кейбір ресурстарды қамтамасыз ету үшін басқа доменде жасалған нысан.

Домен инфрақұрылымының рөлі тек доменге ғана тән.

Домендегі қандай контроллер домен инфрақұрылымының иесі ретінде әрекет ететінін көру үшін « Active Directory - Пайдаланушылар және компьютерлер«, доменді тінтуірдің оң жақ түймешігімен басып, « Операцияның иесі".

«қойындыда» Инфрақұрылым"сіз доменде осы рөлді орындайтын контроллерді көресіз.

Негізгі домен контроллерінің эмуляторы (PDC эмуляторы).

PDC эмуляторының рөлі бірнеше маңызды функциялар болып табылады (мұнда барлығы тізімделмеген, тек негізгілері):

Құпия сөзді жаңарту репликациясына қатысады. Пайдаланушы құпия сөзін өзгерткен сайын бұл ақпарат PDC рөлі бар домен контроллерінде сақталады. Пайдаланушы қате құпия сөзді енгізген кезде, тіркелгінің өзгертілген құпия сөзін алу үшін аутентификация PDC эмуляторына жіберіледі (сондықтан пайдаланушы қате құпия сөзді енгізсе, кіруді тексеру дұрыс құпия сөзді енгізумен салыстырғанда ұзағырақ уақыт алады).

Домендегі Топтық саясат жаңартуларына қатысады. Атап айтқанда, Топтық саясат әртүрлі домен контроллерлерінде бір уақытта өзгерген кезде, PDC эмуляторы Топтық саясаттың барлық өзгерістері үшін негізгі нүкте ретінде әрекет етеді. Топтық саясатты басқару өңдегішін ашқанда, ол PDC эмуляторы ретінде әрекет ететін домен контроллерімен байланысады. Сондықтан барлық топтық саясат өзгерістері әдепкі бойынша PDC эмуляторына жасалады.

PDC эмуляторы домен үшін негізгі уақыт көзі болып табылады. Әрбір домендегі PDC эмуляторлары өз уақыттарын орман түбірлік доменінің PDC эмуляторымен үндестіреді. Басқа контроллерлер уақытты домендік PDC эмуляторымен синхрондайды, компьютерлер мен серверлер уақытты домен контроллерімен синхрондайды.

Домендегі қандай контроллер PDC эмуляторы ретінде әрекет ететінін көру үшін « Active Directory - Пайдаланушылар және компьютерлер«, доменді тінтуірдің оң жақ түймешігімен басып, « Операцияның иесі".

PDC қойындысында осы рөлді орындайтын контроллерді көресіз.